Avec iOS 18.6.2 et iPadOS 18.6.2, Apple a corrigé une faille de sécurité critique qui était déjà activement exploitée à petite échelle.
Les pirates peuvent exploiter un problème de sécurité jusqu’à récemment inconnu dans iOS et iPadOS via un fichier image manipulé. Apple lance avec la version 18.6.2 un correctif qui résout le problème.
La vulnérabilité se situe dans ImageIO. Il s’agit d’un composant système chargé du traitement des fichiers image. Un fichier spécialement préparé à cet effet peut manipuler la mémoire par le biais d’une « « écriture hors limites » ». Ce faisant, un fichier écrase des emplacements de mémoire en dehors des limites autorisées, ce qui permet potentiellement un abus. En bref, le bug permet de tromper le système pour qu’il exécute son propre code malveillant.
Apple indique être au courant d’un rapport selon lequel la faille aurait été exploitée dans une attaque ciblée contre des personnes spécifiques. Les pirates d’États-nations, par exemple, utilisent plus souvent des bugs zero day inconnus pour mettre en place des attaques d’espionnage ciblées.
Mise à jour urgente
La faille de sécurité porte le label CVE-2025-43300. Apple affirme que le problème a été résolu en mettant en œuvre des contrôles plus stricts lors du traitement des données d’image via une mise à jour.
La mise à jour est disponible pour l’iPhone XS et les versions ultérieures, ainsi que pour divers modèles d’iPad : notamment l’iPad Pro à partir de la troisième génération (12,9 pouces) ou de la première génération (11 pouces), l’iPad Air à partir de la troisième génération, l’iPad à partir de la septième génération et l’iPad mini à partir de la cinquième génération.
Apple ne lance pas seulement un correctif pour iOS 18.6.2 et iPadOS 18.6.2. La vulnérabilité a également été corrigée dans d’autres systèmes d’exploitation Apple. Des mises à jour sont disponibles pour macOS Ventura (13.7.8), macOS Sonoma (14.7.8), macOS Sequoia (15.6.1) et iPadOS 17.7.10.
Pour les utilisateurs des appareils concernés, il est recommandé d’installer les dernières mises à jour dès que possible afin d’éviter tout risque d’abus.